Перейти к содержанию

Дайджест свежих материалов из мира WordPress

О проекте
- Выбор редакции
- Уязвимости WordPress
Публикации
События
Вакансии
Реклама
Контакты

ДОБАВИТЬ НОВОСТЬ

Безопасность

Обзор уязвимостей в мире WordPress за январь 2021 года

Рейтинг: 4.9 из 27 оценок

АвторMikhail Kobzarev 1 февраля, 202112 февраля, 2021 Комментарии

Обзор любезно предоставлен сервисом WPScan, за что им отдельное спасибо.

Уязвимые плагины под WordPress

Modern Events Calendar Lite < 5.16.6 – Authenticated SQL Injection
Modern Events Calendar Lite < 5.16.5 – Authenticated Arbitrary File Upload leading to RCE
Modern Events Calendar Lite < 5.16.5 – Unauthenticated Events Export
Modern Events Calendar Lite < 5.16.5 – Authenticated Stored Cross-Site Scripting (XSS)
Super Forms <= 4.9.602 – Unauthenticated PHP4 File Upload to RCE
uListing < 1.7 – Unauthenticated Arbitrary Post/Page Deletion
uListing < 1.7 – Unauthenticated SQL Injections
uListing < 1.7 – Unauthenticated Arbitrary Roles and Capabilities Creation/Deletion
uListing < 1.7 – Unauthenticated Information Disclosure
uListing < 1.7 – Unauthenticated WordPress Options Change
uListing < 1.7 – Unauthenticated Arbitrary Account Change
uListing < 1.7 – Unauthenticated Arbitrary Account Creation
Contact Form 7 Database Addon < 1.2.5.6 – CSV Injection
Doneren met Mollie < 2.8.5 – Unauthorised CSV Export leading to Sensitive Data Disclosure
Contact Form 7 Database Addon < 1.2.5.4 – Authenticated SQL Injections
Digital Climate Strike WP <= 1.0.0 – Redirect to Malicious Website due to Compromised JS Asset
Under Construction < 3.86 – Authenticated Stored Cross-Site Scripting (XSS)
Stockdio Historical Chart < 2.8.1 – Reflected Cross-Site Scripting (XSS)
123ContactForm for WordPress <= 1.5.6 – Unauthenticated Arbitrary File Upload
123ContactForm for WordPress <= 1.5.6 – Unauthenticated Arbitrary Post Creation
123ContactForm for WordPress <= 1.5.6 – Validation Bypass via Plugin Verification
e-signature < 1.5.6.8 – Unauthenticated Arbitrary File Upload leading to RCE
WP Shieldon 1.6.3 – Unauthenticated Cross-Site Scripting (XSS)
301 Redirects – Easy Redirect Manager < 2.51 – Authenticated SQL Injection
Simple Job Board < 2.9.4 – Authenticated Path Traversal Leading to Arbitrary File Download
FV Flowplayer Video Player < 7.4.38.727 – Authenticated Stored Cross-Site Scripting (XSS)
Easy Contact Form Pro < 1.1.1.9 – Authenticated Stored Cross-Site Scripting (XSS)
Elementor Contact Form DB < 1.6 – Unauthenticated & Unauthorised Form Submissions Export
Elementor Contact Form DB < 1.6 – Plugin Settings Cross-Site Request Forgery
Orbit Fox by ThemeIsle < 2.10.3 – Authenticated Privilege Escalation
Orbit Fox by ThemeIsle < 2.10.3 – Authenticated Stored Cross Site Scripting
WP Quick FrontEnd Editor <= 5.5 – Authenticated Settings Change leading to Stored XSS
WP Quick FrontEnd Editor <= 5.5 – Authenticated Content Injection
Custom Global Variables <= 1.0.5 – Stored Cross-Site Scripting (XSS)
Modal Survey < 2.0.1.8.2 – Authenticated PHP Object Injection
Modal Survey < 2.0.1.8.2 – Unauthenticated Arbitrary Survey Update, Deletion and Creation
Modal Survey < 2.0.1.8.2 – Authenticated Reflected Cross-Site Scripting (XSS)
WP24 Domain Check < 1.6.3 – Authenticated Stored Cross-Site Scripting (XSS)
Advanced Custom Fields < 5.8.12 – Cross-Site Scripting in Select2 dropdowns
Elementor < 3.0.14 – SVG Upload Allowed by Default
Stripe Payments < 2.0.40 – Authenticated Stored Cross-Site Scripting (XSS)
WP Paginate < 2.1.4 – Authenticated Stored Cross-Site Scripting (XSS)
Contact Form Submissions <= 1.6.4 – Authenticated SQL Injection
Contact Form Submissions <= 1.6.4 – Authenticated Double Query SQL injection

Читать далее

Метки записи: #Security #WordPress #WPScan #Плагины WordPress

Комментарии

Навигация по записям

Elysio Form – Widget & Styles Contact Form 7 for Elementor

ePayCore — платежный сервис для фрилансеров разработчиков и не только

Добавить комментарий

Читайте также

1 марта, 2021
Обзор уязвимостей в мире WordPress за февраль 2021 года

Обзор любезно предоставлен сервисом WPScan, за что им отдельное спасибо. Читать далее
1 апреля, 2021
Обзор уязвимостей в мире WordPress за март 2021 года

Обзор любезно предоставлен сервисом WPScan, за что им отдельное спасибо. Читать далее
10 декабря, 2020
Закрыта XSS уязвимость в плагине PageLayer

Уязвимость затрагивает более 200.000 сайтов под управлением WordPress. Читать далее
15 февраля, 2021
Пиратские темы и плагины стали самой популярной угрозой для WordPress-сайтов в 2020 году

Как заявили эксперты Wordfence, вредоносный софт, поставляемый вместе с пиратскими темами и плагинами, является одной из самых популярных угроз для WordPress-сайтов. Читать далее
18 марта, 2021
XSS уязвимость в Elementor

В самом популярном конструкторе страниц Elementor была найдена XSS уязвимость (межсайтовый скриптинг), которая затрагивает более 7 миллионов сайтов. Подробный разбор полётов
1 мая, 2021
Обзор уязвимостей в мире WordPress за апрель 2021 года

Обзор любезно предоставлен сервисом WPVulnDB, за что им отдельное спасибо. Читать далее

🔥 Горячие вакансии

WordPress Developer 7 марта, 2023
Already Media ищет опытного WordPress разработчика 24 февраля, 2023
WordPress Developer 14 февраля, 2023
В фонд “Фома Центр” требуется веб-разработчик (WordPress) 13 февраля, 2023
В компанию “Лайфхакер” требуется Middle PHP разработчик (WordPress) 10 февраля, 2023

❤️ Выбор редакции

Курс React + Redux – Профессиональная Разработка 15 марта, 2021
Кросс-платформенный сервис Airtable 26 декабря, 2020
SmmBox – отложенный постинг и поиск контента 23 июля, 2021
PureVPN 5 января, 2021
Конструктор страниц Elementor 5 января, 2021

📅 Последние мероприятия

Аудит юзабилити и конверсии ваших сайтов 17 октября, 2022
WordPress — техническая SEO-оптимизация 16 октября, 2022
Большой митап WordPress разработчиков в Москве №21 13 октября, 2022
Выездной WordPress-митап в Туле 19 сентября, 2022
WordPress Meetup Spb #17 15 июля, 2022

Свежие записи

Количество ошибок безопасности в плагинах WordPress, выросло на 328% 22 марта, 2023
Компания Automattic приобрела плагин ActivityPub для WordPress 22 марта, 2023
Добавление произвольных типов постов и таксономий в REST API 21 марта, 2023
Закончилась целая эпоха: Мика Ариэла Эпштейн уходит из команды ревью 16 марта, 2023
Как изменить основной блог (сайт) в WordPress Multisite 11 марта, 2023

Уязвимости ядра WordPress

База данных предоставлена сервисом WP SysAdmin:

WordPress <= 6.0.1 - Authenticated Cross-Site Scripting (XSS) vulnerability 31.08.2022
WordPress <= 6.0.1 - Authenticated Stored Cross-Site Scripting (XSS) vulnerability 31.08.2022
WordPress <= 6.0.1 - Authenticated SQL Injection (SQLi) vulnerability via Link API 31.08.2022
WordPress core <= 6.0.2 - Data Exposure vulnerability via REST API 18.10.2022
WordPress core <= 6.0.2 - Sender’s Email Address Exposure vulnerability 18.10.2022
WordPress core <= 6.0.2 - Stored Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Stored Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Reflected Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Stored Cross-Site Scripting (XSS) vulnerability in Comment editing 18.10.2022
WordPress core <= 6.0.2 - Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Stored Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - SQL Injection (SQLi) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Content From Multipart Emails Leak vulnerability 18.10.2022
WordPress core <= 6.0.2 - Cross-Site Request Forgery (CSRF) vulnerability in wp-trackback.php 18.10.2022
WordPress core <= 6.0.2 - Stored Cross-Site Scripting (XSS) vulnerability 18.10.2022
WordPress core <= 6.0.2 - Open redirect vulnerability 18.10.2022
Multiple vulnerabilities in WordPress 08.11.2022
CVE-2022-43504 02.02.2023
CVE-2022-43500 02.02.2023
CVE-2022-43497 02.02.2023
WordPress Core < 6.0.3 - Shared User Instance Weakness 01.01.1970
WordPress Core < 6.0.3 - Open Redirect 01.01.1970
WordPress Core < 6.0.3 - Information Disclosure (Multi-Part Email Leak) 01.01.1970
WordPress Core < 6.0.3 - Authenticated (Admin+) Stored Cross-Site Scripting via Customizer 01.01.1970
WordPress Core < 6.0.3 - Authenticated Information Disclosure via REST-API 01.01.1970
WordPress Core < 6.0.3 - Reflected Cross-Site Scripting via SQL Injection 01.01.1970
WordPress Core < 6.0.3 - Cross-Site Request Forgery via wp-trackback.php 01.01.1970
WordPress Core < 6.0.3 - Information Disclosure (Email Address) 01.01.1970
WordPress Core < 6.0.3 - Authenticated (Editor+) Stored Cross-Site Scripting via Comments 01.01.1970
WordPress Core < 6.0.3 - SQL Injection via WP_Date_Query 01.01.1970
WordPress Core < 6.0.2 - Authenticated SQL Injection 01.01.1970
WordPress Core < 6.0.2 - Stored Cross-Site Scripting via Plugin Deactivation and Deletion Errors 01.01.1970
WordPress Core < 6.0.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via use of the_meta(); function 01.01.1970

Редакция не несет ответственности за достоверность информации в рекламных объявлениях. При цитировании и перепечатке материалов ссылка на сайт WordPress Digest обязательна. Позиция редакции не всегда совпадает с точкой зрения авторов.

© WordPress Digest, 2018–2023

Наш Telegram

Всегда только всё самое новое про WordPress от WordPress Digest и никакого спама

Читать нас в Telegram

Найти:

О проекте
- Выбор редакции
- Уязвимости WordPress
Публикации
События
Вакансии
Реклама
Контакты

Найти: